多出口校园网仿真设计与实现
2021-01-27孙光懿贾英霞
孙光懿 贾英霞
(1.天津音乐学院网络安全和信息化办公室,天津 300171;2.商丘经济贸易学校教务科,河南 商丘 476000)
0 引 言
当前天津音乐学院校园网(以下简称校园网)面临2个急需解决的问题:一是校园网整体可靠性不高,三层网关及出口路由均没有备份.无论是出口链路还是核心层网络设备出现故障,都会造成校园网用户无法正常访问互联网资源.二是出口链路单一且网络带宽不足,在用网高峰时段,校园网用户访问互连网资源速度较慢.为了解决上述问题,采取了以下应对措施:保留中国教育科研网出口链路,并引入中国电信、中国联通等互联网服务提供商出口链路;在校园网核心层中部署2台三层交换机,并在二者之间运行虚拟路由冗余协议(virtual router redundancy protocol,VRRP).这样部署不仅可有效解决核心层存在的单点故障问题,还可以为三层网关提供冗余.第三,在校园网与互联网服务提供商互联的边界路由器中,联合应用策略路由和服务等级协议(service-level agreement,SLA).应用策略路由主要是为了使校园网用户访问互联网资源的数据包时,能够按照更为合理的路径进行转发,从而提高访问互联网资源的速度.而应用SLA,不仅可实时监测校园网出口链路的工作状态,而且还可以通过关联路由进程,确保校园网用户访问互联网资源的数据包不受故障链路的影响,即数据包可及时通过另一条备用出口链路进行转发.
1 相关技术
1.1 VRRP
VRRP是IETP提出的一种具有开放标准的网关容错协议[1-5],因此可部署在多厂商网络设备环境中.其工作原理和特性与热备份路由协议(hot standby router protocol,HSRP)相类似(该协议为思科私有协议),具有快速的故障恢复速度与较高的安全性(支持明文认证、MD5认证、HMAC认证).最多可支持255个VRRP组(HSRP最多只能支持16个组),组内允许存在1台主用路由器和若干台备用路由器.可以将每个VRRP组理解为1台虚拟路由器,虚拟路由器的IP地址(该地址为局域网内主机三层网关IP地址)既可以与组内路由器IP地址相同,又可以不同.VRRP协议不仅可为组内路由器真实IP地址提供冗余,而且还可以为组内成员共享的虚拟IP地址提供冗余.局域网内主机发往三层网关的报文,均由主用路由器负责进行处理.除此之外,主用路由器还负责以每秒1次的频率向组播地址224.0.0.18发送Hello数据包.而备用路由器不负责处理任何报文,仅当主用路由器出现故障时,才会在抢占模式下,通过选举成为新的主用路由器.主用路由器的选择是根据VRRP组内每台路由器的优先级所决定的,优先级最高的路由器成为主用路由器,优先级的缺省值为100.如果VRRP组内某台路由器的优先级为0,那么就意味着该台路由器不再参与VRRP组的运作(该设置可使备用路由器不必等待主用失效间隔时间,从而快速成为主用路由器).如果VRRP组内某台路由器的优先级为255,那么就意味着该台路由器为IP地址拥有者(虚拟路由器的IP地址与该路由器物理接口的IP地址相同).
1.2 策略路由
策略路由技术[6-7],为网络管理者提供了一种比传统路由协议(传统路由协议数据包的转发是根据目标地址来进行的)更为灵活、可靠的数据包转发和路由方式.应用策略路由技术,网络管理者可根据源地址、目的地址、报文长度、转发时间、协议类型、IP优先级等多种方式,对用户数据包进行转发.换句话说,只要在访问控制列表中能够进行设置的条件,都可作为策略路由的匹配规则.需要注意:(1)策略路由的优先级比任何路由协议都高(包括静态路由与直连路由协议);(2)策略路由只在入站接口方向起作用;(3)默认情况下,策略路由对路由器自身所产生的数据包不起作用;(4)在多出口链路的情况下,应用策略路由,可实现出口链路的负载均衡;(5)网络管理者在应用策略路由前,必须预先指定将要使用的路由图,并创建该路由图.路由图可由1或多条策略所组成,每条策略又可定义1或多条匹配规则和对应的动作.当某条策略定义了多条匹配规则时,只有接口收到的数据包同时满足上述所有规则时,策略路由才会执行该条策略相对应的动作;(6)如果数据包与路由图中每条策略所定义的规则都不匹配,那么将按照传统路由转发进行处理;(7)如果网络管理者想丢弃某些数据包而不进行转发,可利用路由图将数据包路由到NULL0接口.
1.3 SLA
SLA可采用主动监视的方式[8-10],对出口链路的可用性与网络性能进行连续探测,并分析生成的数据流.从而使网络管理者不仅能够及时了解出口链路的网络性能,而且还可以预先发现出口链路所存在的网络问题.在实际应用SLA的过程中,需要网络管理者在IP SLA源指定目标设备的IP地址、协议类型以及TCP或UDP端口号(目标设备的响应信息,存储在源设备的IP SLA MIB中).需要注意的是:(1)在源设备启用IP SLA后,会向目标设备发送人造数据流.(2)如果目标设备支持运行 IP SLA响应器(例如思科路由器),那么就可以在不需要进行复杂配置的情况下,提供精确的测量值.
2 网络拓扑构建[11-13]
改造后的校园网,在网络边界处部署了1台思科3700路由器R1,分别与引入的中国教育科研网、中国联通、中国电信3条互联网服务提供商边界路由器互联(路由器R2为中国教育科研网边界路由器、路由器 R3为中国联通边界路由器、路由器 R4为中国电信边界路由器).为了使校园网用户访问互联网资源的数据包,能够按照更为合理的路径进行转发,同时也为了使其拥有出口路由备份,在路由器R1中联合应用策略路由和SLA协议.除此之外,还在校园网核心层部署了2台思科6509三层交换机SW1与SW2,二者之间通过运行VRRP协议,为三层网关提供冗余.网络拓扑如图1所示.三层交换机SW1既为天音校园网 VLAN11(办公区)和VLAN12(财务一卡通)网段的主用路由器,又为天音校园网 VLAN13(学生宿舍区)和 VLAN14(教学区)网段的备用路由器.同理,三层交换机SW2既为天音校园网 VLAN13和VLAN14网段的主用路由器,又为天音校园网VLAN11和 VLAN12网段的备用路由器.
在校园网正常的情况下,VLAN11与 VLAN12这2个网段用户发往网关地址的数据包和数据帧均由SW1负责处理;而VLAN13与VLAN14这2个网段用户发往网关地址的数据包和数据帧则由SW2负责处理.当 VLAN11、VLAN13、VLAN14 网段用户访问教育网资源时(VLAN12网段用户只可对校园网内资源进行访问,禁止访问任何互联网资源),数据包需经中国教育科研网边界路由器 R2,去往目标地址.当VLAN11网段用户访问其他互联网资源时,数据包需经中国联通边界路由器R3,去往目标地址.当VLAN13与VLAN14网段用户访问其他互联网资源时,数据包需经中国电信边界路由器R4,去往目标地址.
在校园网出现故障的情况下(无论是三层交换机出现故障,还是校园网出口链路出现故障),各网段用户对目标地址的访问均不会受到任何影响,只是数据包去往目标地址的路径会发生相应改变.例如:当三层交换机SW1发生故障时,校园网内所有网段用户发往网关地址的数据包和数据帧,均会由三层交换机 SW2来负责进行处理(三层交换机SW2成为VLAN11与 VLAN12网段新的主用路由器),当中国教育科研网出口链路发生故障时,VLAN11、VLAN13和 VLAN14网段用户,访问教育网资源的数据包会改为经中国联通边界路由器R3,去往目标地址.
图1 多出口校园网网络拓扑
3 网络配置
3.1 校园网相关设备IP地址分配
当前校园网有 VLAN11、VLAN12、VLAN13 和VLAN14共4个网段,各网段用户之间可以互相通信.其中,VLAN11网段的网关地址为192.168.11.1,VLAN12的网关地址为192.168.12.1,VLAN13网段的网关地址为192.168.13.1,VLAN14网段的网关地址为192.168.14.1.二层交换机 SW3的 f3/1、f3/2接口为TRUNK接口,分别与三层交换机SW1的f3/1接口和 SW2的 f3/2接口互联;而 f3/4、f3/3、f3/5、f3/6接口均为 ACCESS接口,分别连接VLAN11网段所属终端计算机 C1、VLAN12网段所属终端计算机 C3、VLAN13网段所属终端计算机C4、VLAN14网段所属终端计算机C5.另外,在互联网服务提供商边界路由器 R2、R3和 R4中,建立了4个环回接口,分别为 LOOPBACK1、LOOPBACK2、LOOPBACK3和LOOPBACK4.这些接口主要用来模拟教育网资源服务器地址、中国联通资源服务器地址、中国电信资源服务器地址以及公网 DNS 114.114.114.114.校园网相关网络设备接口及 IP地址分配如表1所示.
3.2 VRRP部署[14]
在三层交换机SW1与SW2中部署VRRP,不仅可实现三层网关的冗余(有助于提高校园网故障快速恢复能力),而且还可以对校园网中的流量实施负载均衡.在实际部署 VRRP协议的过程中,网络管理者一定要确保2台三层交换机在二层链路中可以互相通信.否则,VRRP组中的备用路由器,就无法收到主用路由器所发送的HELLO通告.另外,还需要网络管理者为部署VRRP协议的每台三层交换机配置抢占特性.这样既能确保当VRRP组中的主用路由器发生故障时,拥有最高优先级的备用路由器成为新的主用路由器(校园网用户发往网关地址的数据包和数据帧,则由该路由器负责处理),又能确保当原主用路由器从故障中恢复时,重新成为主用路由器.在这里只给出在三层交换机SW1中建立VRRP 11组的相关配置命令:
SW1(config)#int vlan 11
SW1(config-if)#ip addre 192.168.11.3 255.255.255.0
SW1(config-if)#vrrp 11 ip 192.168.11.1//建立VRRP 11组,虚拟路由器的IP地址为192.168.11.1,该地址既为校园网 VLAN11网段用户网关地址
表1 校园网相关网络设备接口及IP地址分配
SW1(config-if)#vrrp 11 priority 190 //将三层交换机SW1在VRRP11组中的优先级设置为190(此值大于 SW2在 VRRP11组中所设置的优先级),此举将使SW1成为VRRP11组的主用路由器
SW1(config-subif)#vrrp 11 pree//配置三层交换机SW1在VRRP11组中的抢占特性
3.3 RIP动态路由协议部署
校园网各网段网关建立在三层交换机SW1与SW2之中,而 VLAN11、VLAN13和 VLAN14网段用户访问互联网资源的数据包,需经路由器 R1向互联网服务提供商边界路由器进行转发,才可到达目的地址.为确保上述网段用户能够正常对互联网资源进行访问,在这里有必要在三层交换机SW1、SW2以及路由器R1中部署RIP动态路由协议.三层交换机SW2的配置命令与 SW1相类似,故省略.
(1)在三层交换机SW1中部署如下RIP路由协议.
SW1(config)#router rip//在 SW1中创建 RIP路由进程
SW1(config-rip)#ver 2
SW1(config-rip)#network 10.1.1.0//宣告网络
SW1(config-rip)#network 192.168.11.0
SW1(config-rip)#network 192.168.12.0
SW1(config-rip)#network 192.168.13.0
SW1(config-rip)#network 192.168.14.0
(2)在路由器R1中部署RIP路由协议.
R1(config)#router rip//在R1中创建RIP路由进程
R1(config-rip)#ver 2
R1(config-rip)#network 10.1.1.0//宣告网络
R1(config-rip)#network 11.1.1.0
3.4 访问控制列表部署
为了确保在路由器R1中,联合应用策略路由和SLA协议的方案能够顺利实施,不仅需要在路由器R1中部署,基于源地址的标准访问控制列表(标准访问控制列表的编号1~99或1 300~1 999),而且还需要部署基于目的地址的扩展访问控制列表(扩展访问控制列表的编号100~199或2 000~2 699).
R1(config)#access-list 10 permit 192.168.12.0 0.0.0.255
R1(config)#access-list 170 permit ip any 211.65.170.0 0.0.0.255
R1(config)#access-list 171 permit ip 192.168.11.0 0.0.0.255 any
R1(config)#access-list 172 permit ip 192.168.13.0 0.0.0.255 any
R1(config)#access-list 173 permit ip 192.168.14.0 0.0.0.255 any
R1(config)#access-list 180 permit ip any any
3.5 SLA部署
在路由器 R1中部署 SLA,可对校园网3条出口链路的可用性进行连续、可靠的有效监测(主要通过在3条出口链路上监测公网114.114.114.114 DNS服务器来实现),所监测的对象也与路由进程相关联.只有在监测对象可达的情况下,校园网用户访问外网资源的数据包才会按照与其相关联的路由进程进行转发.当发现监测对象不可达时,校园网访问互联网资源的数据包,就会按照网络管理者预先制定的路由策略,从另一条出口链路对互联网资源进行正常访问.在这里以对中国教育科研网出口链路为例,给出相关配置命令:
R1(config)#ip sla monitor 10//设置SLA条目
R1(config-sla-monitor)#type echo protocol ipIcmpEcho 114.114.144.114 source-ip 211.68.197.1//测试访问公网114DNS地址的可达性,源 IP地址为211.68.197.1(该地址为路由器R1的s2/0接口地址)
R1(config)#ip sla monitor schedule 10 life forevstart-time now//上述对公网114DNS地址的可达性测试立即生效,并一直持续
R1(config)#track 10 ip sla 10 reachability //定义所跟踪的对象
3.6 网络地址转换技术部署
为了最大限度地保护校园网的安全,也为了节省有限的公网IPv4地址资源,校园网各网段均使用了私有IPv4地址.任何主机必须拥有合法的公有IP地址,才可正常访问互联网资源.因此,有必要在路由器R1中部署网络地址转换(network address translation,NAT)技术,当校园网用户访问互联网资源时,将其私有地址转换为合法的公有 IP地址.NAT技术通常有以下3种实现方式:静态 NAT(1个私有IP地址,对应转换为1个固定的公有 IP地址);动态NAT(私有 IP地址对应转换为随机的公有IP地址);端口多路复用(通过改变数据包源端口并进行转换的方式,内部网络的所有私有 IP地址,可共享1个合法公有IP地址,从而实现对互联网资源的访问).在这里只给出中国联通出口链路的NAT相关配置:
R1(config)#route-map cu permit 10//配置从中国联通出口链路,访问互联网资源的NAT源地址来源
R1(config-route-map)#match ip address 180
R1(config-route-map)#match interface s2/1
R1(config)#ip nat pool cu 202.97.95.3 202.97.95.12 netmask 255.255.255.0//指定中国联通出口链路NAT地址池
R1(config)#ip nat inside source route-map cu pool cu overload//定义NAT工作方式为PAT
3.7 策略路由部署[15]
由于校园网边界路由器R1的f3/0接口与f3/1接口,分别与三层交换机SW1、SW2互连,因此将所制定的策略路由应用于上述2个接口(为接收数据包的入站接口)之中.在实际部署策略路由时,如果路由图语句被标记为deny,那么将不会按照基于策略的路由转发满足匹配条件的数据包,而是按照基于目的地址的传统路由进行转发.在这里只给出在f3/0接口应用策略路由的过程(在f3/1接口应用策略路由的过程与其类似,故省略):
R1(config)#route-map sgy permit 10
R1(config-route-map)#match ip address 10//判断数据包的源地址是否为VLAN12网段用户
R1(config-route-map)#set default interface null0//丢弃来自VLAN12网段用户的数据包
R1(config)#route-map sgy permit 15
R1(config-route-map)#match ip address 170//判断是否访问教育网资源
R1(config-route-map)#set ip next-hop verify-availability 211.68.197.2 track 10//当中国教育科研网出口链路工作状态正常时,校园网 VLAN11、VLAN13和VLAN14网段用户,访问教育网资源的下一跳地址为211.68.197.2.
R1(config-route-map)#set ip next-hop verify-availability 202.97.952 track 15//当中国教育科研网出口链路出现故障时,校园网 VLAN11、VLAN13、VLAN14网段用户,访问教育网资源的下一跳地址为202.97.95.2.
R1(config)#route-map sgy permit 18
R1(config-route-map)#match ip address 171
R1(config-route-map)#set ip next-hop verify-availability 202.97.95.2 track 15//当中国联通出口链路工作状态正常时,校园网VLAN11网段用户访问其他互联网资源的下一跳地址为202.97.95.2.
R1(config-route-map)#set ip next-hop verify-availability 221.44.129.2 track 16//当中国联通出口链路出现故障时,校园网VLAN11网段用户访问其他互联网资源的下一跳地址为221.44.129.2.
R1(config)#route-map sgy permit 20
R1(config-route-map)#match ip address 172
R1(config-route-map)#set ip next-hop verify-availability 221.44.129.2 track 16//当中国电信出口链路工作状态正常时,校园网VLAN13网段用户访问其他互联网资源的下一跳地址为221.44.129.2.
R1(config-route-map)#set ip next-hop verify-availability 202.97.95.2 track 15//当中国电信出口链路出现故障时,校园网VLAN13网段用户访问其他互联网资源的下一跳地址为202.97.95.2.
R1(config)#route-map sgy permit 25
R1(config-route-map)#match ip address 173
R1(config-route-map)#set ip next-hop verify-availability 221.44.129.2 track 16//当中国电信出口链路工作状态正常时,校园网VLAN14网段用户访问其他互联网资源的下一跳地址为221.44.129.2.
R1(config-route-map)#set ip next-hop verify-availability 202.97.95.2 track 15//当中国电信出口链路出现故障时,校园网VLAN14网段用户访问其他互联网资源的下一跳地址为202.97.95.2.
R1(config-if)#int f3/0
R1(config-subif)#ip policy route-map sgy//在f3/0接口应用策略路由
4 网络测试
4.1 在校园网正常的情况下进行测试
首先,使用show vrrp brief命令查看,校园网三层交换机 SW1、SW2中 VRRP的工作状态(图 2、图3).其次,以校园网VLAN11网段所属终端计算机C1及VLAN13网段所属终端计算机C4为例,使用trace命令分别查看访问教育网资源服务器(IP地址为:211.68.170.1/24)以及中国电信资源服务器(IP地址为:221.44.130.1/24)的路由过程.
图2 三层交换机SW1中VRRP协议的工作状态
图3 三层交换机SW2中VRRP协议的工作状态
(1)终端计算机C1访问教育网资源服务器以及中国联通资源服务器路由过程.
VPCS[1]>trace 211.65.170.1//访问教育网资源服务器
trace to 211.65.170.1, 8 hops max, press Ctrl+C to stop
1 192.168.11.1 15.431ms 9.770ms 10.540ms
2 10.1.1.1 12.376ms 7.53ms 8.69ms
3211.6 5.197.2 19.528 ms//到达目的地址前,最后一跳的IP地址为中国教育科研网边界路由器R2与校园网边界路由器R1互联的接口地址.
VPCS[1]>trace 221.44.130.1//访问电信资源服务器
trace to 221.44.130.1, 8 hops max, press Ctrl+C to stop
1 192.168.11.1 11.631ms 7.570ms 16.931ms
2 10.1.1.1 10.522ms 8.73ms 9.59ms
3 202.97.95.2 16.129ms//到达目的地址前,最后一跳的IP地址为中国联通边界路由器R3与校园网边界路由器R1互联的接口地址.
(2)终端计算机C4访问教育网资源服务器以及中国联通资源服务器路由过程.
VPCS[4]>trace 211.65.170.1//访问教育网资源服务器
trace to 211.65.170.1, 8 hops max, press Ctrl+C to stop
1 192.168.13.1 17.094ms 6.170ms 13.590ms
2 11.1.1.1 11.146ms 5.63ms 7.29s
3 211.65.197.2 19.528ms//到达目的地址前,最后一跳的IP地址为中国教育科研网边界路由器R2与校园网边界路由器R1互联的接口地址.
VPCS[4]>trace 221.44.130.1//访问电信资源服务器
trace to 221.44.130.1, 8 hops max, press Ctrl+C to stop
1 192.168.13.1 9.541ms 8.773ms 12.011ms
2 11.1.1.1 9.552ms 7.33ms 8.16ms
3 221.44.129.2 11.539ms//到达目的地址前,最后一跳的IP地址为中国电信边界路由器R4与校园网边界路由器R1互联的接口地址.
通过上述测试发现:校园网不仅实现了三层网关的冗余,而且还实现了出口流量的负载均衡.其一,校园网三层交换机 SW1既为 VLAN11、VLAN12网段的主用路由器,又为 VLAN13和VLAN14网段的备用路由器.与此同时,校园网三层交换机SW2既为VLAN11、VLAN12网段的备用路由器,又为 VLAN13、VLAN14网段的主用路由器.其二,当VLAN11、VLAN13和VLAN14网段用户访问教育网资源时,数据包经中国教育科研网边界路由器 R2去往目标地址.其三,当 VLAN11网段用户访问其他互联网资源时,数据包经中国联通边界路由器 R3去往目标地址.其四,当VLAN13、VLAN14网段用户访问其他互联网资源时,数据包经中国电信边界路由器R4去往目标地址.
4.2 在校园网发生故障的情况下进行测试
首先,手动关闭三层交换机 SW1,模拟校园网核心层网络设备出现故障.并再次使用 show vrrp brief命令对三层交换机SW2中VRPP的工作状态进行测试.测试后,三层交换机SW2已成为校园网所有网段的主用路由器(校园网各网段用户发往网关的流量,均由其进行处理).其次,手动关闭中国教育科研网边界路由器R2,模拟教育网出口链路出现故障.并再次以校园网VLAN11网段所属终端计算机C1及VLAN13网段所属终端计算机C4为例,使用trace命令查看访问教育网资源服务器(IP地址为:211.68.170.1/24)的路由过程.测试后发现,VLAN11、VLAN13、VLAN14网段用户仍可对教育网资源进行正常访问.只是去往目标地址,所经的互联网服务提供商边界路由器变为了中国联通边界路由器R3.
5 结束语
此次网络改造,不仅有效增强了天音校园网的可靠性,而且使校园网用户访问互联网资源的速度也有了明显提升.既使某台三层交换机或某条出口链路发生故障,也不会对校园网用户访问互联网业务造成任何影响.
